計算機網絡安全管理平臺的研究

摘 要：闡述了目前主流網絡安全產品的局限性，由此引入了網絡安全管理平臺的概念。提出了對網絡安全管理平臺的關鍵技術——聯動互操作技術，并對目前國內外典型產品進行了技術分析，最后對網絡安全管理平臺的發展趨勢及現有難點進行了論述并提出了建議。

關鍵詞：網絡安全管理平臺；聯動互操作；集成

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 06-0000-01

一、網絡安全管理平臺的起因分析

網絡安全需要綜合高效的解決方案是因為網絡安全產品都存在一定局限性。防火墻是一種用來加強網絡之間訪問控制的特殊網絡互聯設備，它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息的目的。但是，防火墻并非萬能，NIST就對它做出了客觀評價，以下指出其主要不足：由于防火墻要保證信息安全，采取了很多訪問控制機制，從而限制了用戶稱心如意的服務訪問；防火墻不能對抗私有網絡中的后門；現在的防火墻，很少保護來自內部的攻擊。防火墻系統存在這些缺陷，故入侵檢測系統就被認為是整個系統中的最后一道防線。

二、網絡安全管理平臺的系統組成與功能特點

網絡安全需要綜合解決方案，木桶原理在網絡安全領域同樣適用：網絡安全最薄弱之處就好比木桶壁上那塊最短的木板，那里也就是黑客攻擊的首選之處，所以就要求網絡安全各方面防護措施強度應相對平衡。況且隨著網絡安全威脅的加強和用戶安全需要的增加，單純依靠單一的防范產品已經很難解決現有的網絡安全問題，于是綜合了多種安全產品和安全策略的網絡安全管理平臺應運而生。

三、網絡安全管理平臺的關鍵技術——聯動互操作

聯動互操作功能是指在網絡安全管理平臺集成的產品之間，當某一平臺部件產品根據一定的策略偵測到了某些安全事件，若該安全事件可以通過修改另一平臺部件產品的安全策略或訪問規則等來解決，則平臺聯動互操作功能可以通過平臺自動修改另一平臺部件產品的策略或規則，并且用戶可以從界面看到這種聯動互操作的發生。聯動互操作功能在平臺上有兩種功能需求：

（1）平臺部件產品無關的聯動互操作功能。平臺部件產品無關的聯動互操作功能是指當平臺部件產品之間沒有通信渠道時，平臺將收集到的某一平臺部件發生的某些安全信息數據，根據平臺配置功能完成的針對該事件的策略信息，形成對另一平臺部件產品的配置或配置更改，通過平臺配置信息流對另一平臺部件產品進行配置；（2）平臺部件產品相關的聯動互操作功能。平臺部件產品相關的聯動互操作功能是指某些平臺部件產品之間原本已具有一定的聯動能力，能根據某一平臺部件發生的某些安全信息數據，對另一平臺部件產品的配置或配置更改。此時，平臺的聯動互操作性已通過平臺部件產品自行解決，平臺只負責實時收集具有聯動互操作能力的平臺部件產品各自對該事件的事件數據，以及針對事件的配置信息等安全信息數據，并進行關聯。

從技術角度看，聯動互操作技術幫助安全體系有效組合并提升性能。例如防火墻與防病毒聯動，可以提供網關查殺病毒能力，保證了內部系統與外部網絡信息流的純潔性；防火墻與認證系統聯動，將認證與防火墻剝離，可以采用專有設備完成身份認證工作，提高了認證的可靠性與安全性，也減輕了防火墻的負擔；防火墻與入侵檢測系統聯動，使防護體系由靜態到動態，由平面到立體，提升了防火墻的機動性和實時反應能力，也增強了入侵檢測系統的阻斷功能等。聯動互操作能力的強弱體現了網絡安全管理平臺的技術水平，由于其牽涉的技術較為復雜，使得它仍然成為網絡安全管理平臺中的最大技術難點。

四、網絡安全管理平臺的發展趨勢與建議

通過分析典型網絡安全管理平臺產品，發現它目前有如下的發展趨勢：

平臺集成廠商采用不同廠商的優秀安全產品優化組合構成自己的網絡安全管理平臺，其中比較典型的有國外的Check Point 、Nokia 、iS-One以及國內的天融信、中科網威等公司，這種做法在集成最優秀的安全產品的同時也依然存在一些不足：（1）由于平臺集成的并非自有產品，再加上專利版權等原因，使得集成者很難接觸到集成產品的源代碼等技術核心，集成商在優化集成時就會遇到更大技術困難。（2）由于采用不同廠商的安全產品，各種產品的協同性兼容性等易出問題。（3）由于牽涉到知識版權，造成生產成本較高，市場競爭力下降。

通過深入分析，我們清楚地意識到目前的網絡安全管理平臺產品，大多只是對多種網絡安全產品的簡單集成，僅能完成一些諸如用同一個數據庫進行多個安全產品日志收集等簡單的互操作工作。由于現有網絡安全產品從功能上涵蓋了網絡防病毒、防火墻、安全網管、入侵檢測、漏洞掃描、安全風險評估等多個領域，具有種類繁多、個性較強的特點。

此外，如果平臺要集成其他廠商的安全產品，就需要了解其技術內核，由于內核源代碼版權問題且目前并沒有國際性的標準組織和聯盟對網絡安全產品之間的接口標準進行制定，

再加上很多網絡安全產品的核心技術擁有者受到目前市場經濟利益的驅動，對一些關鍵安全產品還存在市場保護，并不情愿提供自己產品的接口供別人集成使用。上述原因就使得目前的網絡安全管理平臺產品并不具備真正意義上的平臺上各組件間良好的聯動互操作能力和平臺基于各種日志的綜合交叉分析能力，這些不足也正是束縛當前網絡安全管理平臺發展的主要原因。

五、結束語

由于網絡安全技術和安全產品在實際網絡系統中的大量應用，不同類型的網絡安全產品由于在技術原理以及管理方式等方面各不相同，因此對能夠向網絡系統提供集中、統一的安全管理能力的網絡安全管理平臺的需求將日益突出，隨著集成技術的發展以及網絡安全產品接口的國際標準化工作的深入，網絡安全管理平臺也必將成為未來網絡安全的綜合解決方案。

參考文獻：

[1]馮登國.計算機通信網絡安全[M].北京：清華大學出版社，2001.

[2]陳科，李之棠.網絡入侵檢測系統和防火墻集成的框架模型.計算機工程與科學，2001（02）：26-28.

[3]葉焰峰.數組越界的故障模型及其檢測方法研究[J].微計算機信息，2007（31）：145-146.